Hệ thống phát hiện xâm
nhập(IDS)
Ngô Văn Công
IDS(Intrusion detect system)

Phát hiện ra các cuộc tấn công và thăm dò
máy tính

Ngăn chặn

Phát hiện

Đề phòng các cuộc tấn công

Đánh giá thiệt hại

Instrution detection: quy trình xác định
một sư xâm nhập đã được thử, đang xuất
hiện, hay đã xuất hiện
Các thuật ngữ

Phát hiện xâm nhập(Intrusion detection):
Phát hiện ra các truy cập trái phép vào
máy tính

Phát hiện sự kiện không bình
thường(Anomaly detection)
IDS làm việc như thế nào?

Phát hiện ra xâm nhập


Trong quá khứ
•
Đọc tập tin log sinh ra bởi các hệ thống bảo mật(firewall)

Ngày nay
•
Quy trình xem xét các tập tin log, theo dõi sự hoạt động các
tài nguyên được làm bởi IDS
•
sự sử dụng CPU, I/O ổ đĩa, bộ nhớ và các thao tác người
dùng, số lần đăng nhập hệ thống

IDS

Duy trì một cơ sở dữ liệu các tập tin ký hiệu về các đặc trưng
của các cuộc tấn công

Mọi cuộc tấn công đều có: đặc tính, mẫu và hành vi->ký hiệu

Phát hiện ra cuộc tấn công hay xâm nhập bằng cách so khớp
các dấu hiệu của cuộc tấn công với các tập tin dấu hiệu trong
csdl
(tt)

Lỗi False-positive phát sinh khi mà IDS
xem một hành vi bình thương trên mạng
như là một sự tấn công của hacker

Lỗi False-negative xuất hiện khi IDS bỏ
qua một cuộc xâm nhập vào hệ thống và

xem xét nó như là hành động bình thường
trong mạng
IDS vs Firewall

Thường có sự nhầm lẫn giữa chức năng
của IDS và Firewall

Firewall hoạt động bằng cách ngăn chặn
mọi thứ sau đó người dùng sẽ lập trình để
chó phép một số mục nào đó được đi qua

Firewall cho phép người dùng nội bộ có thể
truy cập ra bên ngoài nhưng ngăn chăn
người dùng bên ngoài truy cập vào hệ
thống mạng nội bộ

Firewall không phải là một hệ thống động
để có thể phán đoán một cuộc tấn công
đang được thực hiện
IDS vs Firewall(tt)

IDS là hệ thống động hơn, nó có khả năng phát hiện
ra các cuộc tấn công vào mạng

Xem xét ví dụ:

Một nhân viên của công ty nhận được email của một nhân viên
khác nói rằng anh ta tìm được một tài liệu đã bị mất từ lâu, nhân
viên mở email mà nhấp chuột vào tập tin thực thi đính kèm, tài
liệu thực thi có một Trojan đính kèm với nó, Trojan sẽ mở một

kết nối đến máy tính của hacker, lúc này firewall sẽ không ngăn
chặn hacker thực hiện cuộc tấn công bằng cổng chung 80 Vì
firewall chỉ cấu hình để ngăn chặn các kết nối ra bên ngoài tới
một số port, nó xem các kết nối HTTP tới webserver chỉ là một
kết nối khác

Nếu hệ thống IDS được cài đặt thì nó có thể đưa ra cảnh
báo như là hành động không thường xuyên trong mạng
Các loại IDS

Để phát hiện được các cuộc xâm nhập IDS
thường dựa trên 2 kỹ thuật sau

Anomaly-Detection Technique

Misuse-Dectection Technique
Anomaly-Detection Technique

Dựa trên giả thuyết là tất cả các hành động không
giống với một tập các mẫu hành vi thì là các hành
động bất thường

IDS nhận biết tiểu sử các hành động bình thường trên
mạng nếu bất kỳ hành vi nào không giống tiểu sử này
thi là môt hành vi không bình thường và đưa ra một
cảnh báo

Tạo một vạch ranh giới cho các hành vi bình thường,
thường được sinh ra dựa thống kê ghi nhận từ hành vì
nhập/xuất, sử dụng CPU, bộ nhớ, hoạt động của người

dùng.
Misuse-Detection Technique

Xem các cuộc tấn cộng như các mẫu và dấu hiệu

Duy trì một cơ sở dữ liệu các dấu hiệu của các cuộc
tấn công

Một cảnh báo phát sinh khi một đợt tấn công nào đó
giống với mẫu trong csdl.

Hoạt động giống như hệ thống antivirus

Không phát sinh lỗi false-positive nhưng không phát
hiện được các kiểu tấn công chưa được phát hiện trước
đó
Các kiểu IDS khác nhau

IDS mạng(Network-based intrusion-
detection systems)

IDS Host(Host-based intrusion-detection
systems)

IDS lai(Hybrid intrusion-detection
systems)
Một số thuất ngữ dùng trong IDS

Màn hình dòng lệnh(Command console)


trung tâm điều khiển của IDS

gồm các công cụ để thiết lập các chính sách

Bộ cảm biến(Sensor)

Tìm kiếm gói tin

Alert Notification

Cảnh báo về một cuộc tấn công(hiện thông báo lên màn hình,
gửi mail)

Response Subsystem

Khi phát hiện tấn công có các hành động phản hồi lại

Database

Hệ thống lưu trữ tất cả các hoạt động ghi nhận từ IDS
IDS mạng

Bao gồm các bộ cảm biến được triển khai
trên toàn bộ mạng để theo dõi và phân
tích các gói tin đi qua mạng sau đó chuyển
kết quả về cho màn hình dòng lệnh

Traditional Sensor Architecture

Distributed network-node architecture


Traditional Sensor

Bộ cảm biến gắn vào mạng và bắt các gói tin
của mạng
Traditional sensor architecture

Các bước một gói tin đi qua IDS mạng
1. Khi máy tính muốn trao đổi dữ liệu với máy tính khác thì quá
trình trao đổi dữ liệu bắt đầu
2. Các gói tin sẽ được lắng nghe trên mạng thông qua các bộ
cảm biến trên mạng
3. Bộ phận phát hiện xâm nhập sẽ so sánh các gói tin với các
mẫu định nghĩa trước, nếu giống nhau thì một cảnh báo sẽ
được đưa ra và chuyển đến màn hình dòng lệnh
4. Thông qua màn hình dòng lệnh bộ phận bảo mật sẽ cảnh
báo thông qua các phương thức khác nhau: email, SNMP.
5. Một câu trả lời sẽ được phát sinh môt cách tự động hoặc bởi
bộ phận bảo mật
6. Một mẫu sẽ được lưu trữ để sau này có thể xem lại và đánh
giá
7. Tạo ra báo cáo tóm tắt các hành đông của tin tặc
IDS mạng
Distributed Network-Node Architecture

Bộ cảm biến gắn vào mỗi máy tính trên
mạng

Mỗi bộ cảm biến chỉ quan tâm đến các gói
tin đến máy của mình


Bộ cảm biến sau đó sẽ giao tiếp với màn
hình dòng lệnh để đưa ra các cảnh báo
(tt)

Các bước gói tin trong giải pháp thứ 2
1. Khi một máy tinh muốn giao tiếp với máy tính khác, gói
tin sẽ được trao đổi
2. Gói tin sau đó sẽ bị lắng nghe trên mạng bằng các bộ
cảm biến gắn trên máy tính đích
3. Bộ phận phát hiện xâm nhập sẽ so sánh các gói tin này
với các mẫu định nghĩa trước, nếu tương đương thì một
cảnh báo sẽ được đưa ra
4. Thông qua mành hình dòng lệnh, bộ phận bảo mật se
thông báo cho người dùng
5. Một câu trả lời sẽ được phát sinh tự động bởi hệ thống
trả lời
6. Lưu trữ cảnh báo(mẫu) để xem lại và đánh giá sau này
7. Tạo ra báo cáo tổng kết đặc tính của hoạt động
(tt)
Cách thức hoạt động IDS mạng

Tip-off

Phát hiện ra xâm nhập vào mạng tại thời điểm
mà nó được thực hiện

Surveillance

Quan sát các hành vi của một tập các thành

phần trên mạng
Lợi ích từ IDS mạng

Cản trở(Deterrence)

Phát hiện(Detection)

Cơ chế thông báo và trả lời tự động

Cấu hình lại firewall/router

Hủy bỏ kết nối
IDS Host

IDS Host dùng các thông tin của máy tính
đích(host)

Dữ liệu nguồn

Các sự kiện hệ thống(System event log)

Các sự kiện ứng dụng(Application Log)

Hiệu quả phát hiện các xâm nhập bên
trong mạng
Tấn công được phát hiện bởi IDS host

Lạm dụng đặc quyền(misuse of privileged
rights): xuất hiện khi người dùng được cấp
quyền root, admin và dùng quyền này vào

mục đích không hợp pháp

Sử dụng sai đặc quyền cao:Quản trị hệ
thống thường cấp đặc quyền cao cho
người dùng để họ có thể cài đặt các ứng
dụng đặc biệt
Kiến trúc IDS host

Có hai kiến trúc cho IDS host

Target Agent
•
Là một chương trình nhỏ chạy ở trên máy đích.
agent trên máy đích cho phép hệ thống đích thực
hiện các họat động có đặc quyền cục bộ
•
Chạy như tiến trình nền trong Unix và như dịch vụ
trong window
•
Chạy một hoặc nhiều agent trên hệ thống đích

Centralized Host-Based Architecture
Centralized Host-Based Architecture
Cách thức hoạt động

1. Khi một hành động được thực hiện trong hệ
thống(file đang được truy cập hay là một chương trình
đang chạy) thì một sự kiện được tạo ra

2. Agent của hệ thống đích sẽ gửi tệp tới trung tâm

điều khiển cách một khoảng thời gian và trên đường
truyền bảo mật

3. Bộ máy phát hiện sẽ so sánh mẫu hành vi của tập
tin với những hành vi được định nghĩa trước

5. Nếu như hành vi mà trùng với các mẫu hành vi đã
định nghĩa trước, một cảnh báo sẽ được sinh ra và
chuyển cho các hệ thống con để đưa ra các thông báo,
trả lời và lưu trữ

6. Văn phòng bảo mật sẽ đưa ra thông báo thông wa
các phương tiện truyền thông(giấy tờ, email )

7. Đưa ra một câu trả lời

8. Cảnh báo được lưu trong csdl

10. Report sẽ được phát sinh, tổng kết cảnh báo và
các sự kiện